Bộ Thông tin và Truyền thông MINISTRY OF INFORMATION AND COMMUNICATIONS

Dịch vụ đánh giá bảo mật cần thiết cho những doanh nghiệp nào?

Bước chân vào kỷ nguyên số, mối quan tâm hàng đầu của doanh nghiệp (DN) chính là bảo mật thông tin. Vì vậy, đánh giá bảo mật là việc quan trọng hàng đầu mà mọi DN muốn chuyển đổi số (CĐS) đều cần thực hiện, đặc biệt là các ngành hàng có giá trị cao, tốc độ tăng trưởng vượt trội và sở hữu số lượng dữ liệu thông tin khách hàng lớn.

Do đó, theo đánh giá của Công ty CP An ninh mạng Việt Nam (VSEC), các DN thuộc các lĩnh vực sau sẽ cần lưu tâm đến việc đánh giá bảo mật.

Đầu tiên là các đơn vị thuộc khối tài chính – ngân hàng. Theo thông tin từ VSEC, năm 2020, có tới 23% các cuộc tấn công trên thế giới nhắm vào các tổ chức thuộc khối tài chính - ngân hàng (tăng 6% so với thống kê của NTT năm 2018).

Các tổ chức này có xu hướng phát triển nhanh mạnh. Thế nhưng việc đầu tư để đảm bảo an toàn cho hệ thống cũng như các ứng dụng CNTT chưa tương xứng với tốc độ phát triển. Đặc biệt là mảng Fintech, lĩnh vực đang có tốc độ tăng trưởng vượt trội, sở hữu số lượng dữ liệu thông tin khách hàng lớn. Việc bị tấn công mạng sẽ gây ảnh hưởng nghiêm trọng tới hình ảnh, thương hiệu của tổ chức, DN - yếu tố quan trọng trong việc kinh doanh tài chính.

Tiếp theo là các DN thuộc lĩnh vực năng lượng -n sản xuất. Theo VSEC, gần 50% số lượng các cuộc tấn công trong năm 2020 liên quan tới việc chiếm quyền kiểm soát hệ thống vận hành công nghiệp OT đối với các đơn vị trong ngành năng lượng và ngành công nghiệp sản xuất. Đảm bảo an ninh năng lượng luôn là yêu cầu then chốt của mỗi chế độ nhà nước. Việc các đơn vị này bị tấn công hệ thống CNTT có thể dẫn những bất ổn cho an ninh quốc gia bởi sự ngưng trệ trong cung cấp năng lượng phục vụ đất nước.

Sau đó là các tổ chức thuộc khối cơ quan nhà nước (CQNN). Với nhu cầu CĐS mạnh mẽ ở Việt Nam, các CQNN cũng chuyển dần sang mô hình chính quyền số - chính phủ điện tử. Đây là mục tiêu của những kẻ tấn công nhằm khai thác những thông tin nhạy cảm, thay đổi hay đăng tải các nội dung độc hại, làm tê liệt dịch vụ phục vụ nhân dân, gây thiệt hại về kinh tế, ảnh hưởng chính trị và an ninh quốc gia.

Cuối cùng là khối thương mại - dịch vụ. Đây là ngành có hiệu suất cập nhật công nghệ cao, sở hữu nhiều loại thiết bị và ứng dụng đa dạng về nghiệp vụ. Ngoài ra, số lượng thông tin khách hàng được lưu trữ và luân chuyển trong ngành này cũng là một con số đáng lưu ý. Do đó, khối thương mại – dịch vụ thường là đối tượng mà hầu hết các tin tặc nhắm tới trong việc khai thác dữ liệu với mục đích phát tán, kinh doanh gây ảnh hưởng đến kinh tế và hình ảnh thương hiệu của DN.

VSEC cung cấp dịch vụ đánh giá an toàn thông tin (ATTT) bao gồm đánh giá công nghệ, môi trường và con người. Với sự tham gia của những chuyên gia IT hàng đầu, VSEC sẽ giúp DN phát hiện ra những lỗi bảo mật dù nhỏ nhất, từ đó đưa ra tư vấn cũng như trực tiếp triển khai các biện pháp để nâng cao hệ thống bảo mật cho DN thông qua phương pháp Red Team.

Cụ thể, Red Team là phương pháp đánh giá bảo mật dài hạn thông qua hình thức tấn công bằng mọi cách nhằm xâm nhập thành công vào hệ thống của DN như các tội phạm mạng, đây là phương pháp đánh giá bảo mật uy tín và thường được ưa chuộng tại các nước phát triển.

Khác với Pentest là khai thác và phát hiện các lỗ hổng bảo mật thì mục tiêu của Red Team lại là kiểm tra khả năng đối phó và phản ứng của DN khi bị tấn công mạng, cuộc tấn công của Red Team được chia thành nhiều tầng và tập trung vào mục tiêu hơn là vào các phương pháp tấn công được sử dụng.

Nói một cách dễ hiểu, Red Team sẽ dùng mọi "thủ đoạn" từ kỹ thuật đến phi kỹ thuật để có thể thực hiện để xâm nhập thành công vào hệ thống như: cài đặt mã độc, spam email, lừa người dùng bằng kỹ thuật Social Engineering… Để có thể thực hiện được điều này, đồng nghĩa với việc quá trình đánh giá của Red Team có thể kéo dài hơn 3-4 tuần, thậm chí là hàng tháng, hàng năm.

Bởi sự phức tạp trong cách triển khai, nên Red Team luôn đòi hỏi cao về đội ngũ chuyên gia, ngoài việc giàu kinh nghiệm và sở hữu những chứng chỉ chuyên môn quốc tế, các chuyên gia cần am hiểu sâu, có tư duy thực chiến như một hacker thực thụ.

Tại Việt Nam hiện nay, VSEC là một trong số ít đơn vị bảo mật lớn đã đáp ứng được những điều kiện trên để cung cấp phương thức đánh giá bảo mật Red Team ra thị trường./.